安全管理是應(yīng)用系統(tǒng)建設(shè)的重中之重。當(dāng)前,網(wǎng)絡(luò)安全事故層出不窮,特別是在重大活動(dòng)或節(jié)假日期間,應(yīng)用系統(tǒng)容易受到黑客攻擊。同時(shí),因?yàn)閮?nèi)部的安全管理等問(wèn)題,也容易造成系統(tǒng)的安全隱患。作為售前工程師,需要了解和系統(tǒng)相關(guān)的安全知識(shí)。
1、了解應(yīng)用系統(tǒng)的安全等級(jí)
2001年1月1日開始實(shí)施的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》,將信息系統(tǒng)安全分為5個(gè)等級(jí),分別是:
用戶自主保護(hù)級(jí)(第一級(jí))
信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。適用于普通內(nèi)聯(lián)網(wǎng)用戶。
系統(tǒng)審計(jì)保護(hù)級(jí)(第二級(jí))
信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。適用于通過(guò)內(nèi)聯(lián)網(wǎng)或互聯(lián)網(wǎng)進(jìn)行商務(wù)活動(dòng),需要保密的非重要單位。
安全標(biāo)記保護(hù)級(jí)(第三級(jí))
信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害,適用于地方各級(jí)國(guó)家機(jī)關(guān)、金融機(jī)構(gòu)、郵電通信、交通運(yùn)輸、重點(diǎn)工程建設(shè)等單位。
結(jié)構(gòu)化保護(hù)級(jí)(第四級(jí))
信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。適用于中央級(jí)國(guó)家機(jī)關(guān)、廣電部門、社會(huì)應(yīng)急保障部門、國(guó)家重點(diǎn)科研機(jī)構(gòu)和國(guó)防建設(shè)部門等單位。
訪問(wèn)驗(yàn)證保護(hù)級(jí)(第五級(jí))
信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。適用于國(guó)防、軍隊(duì)等關(guān)鍵部門和依法需要對(duì)應(yīng)用系統(tǒng)實(shí)施特殊隔離的單位。
可以看到,從第一級(jí)到第五級(jí),安全標(biāo)準(zhǔn)越來(lái)越高,越來(lái)越嚴(yán)格。
2、應(yīng)用系統(tǒng)應(yīng)如何定級(jí)
應(yīng)用系統(tǒng)的安全等級(jí)定級(jí),并不是越高越好,要根據(jù)系統(tǒng)本身來(lái)定級(jí)?,F(xiàn)在有不少客戶,對(duì)運(yùn)行在互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)安全提等級(jí)要求時(shí),經(jīng)常說(shuō)的就是系統(tǒng)安全要達(dá)到等保三級(jí)。但是從信息系統(tǒng)安全等級(jí)劃分可以看到,其實(shí)這是一對(duì)矛盾體,因?yàn)樵诨ヂ?lián)網(wǎng)端運(yùn)行的應(yīng)用系統(tǒng)原則上不能超過(guò)三級(jí)。對(duì)于這個(gè)問(wèn)題,可以這樣理解:
1、對(duì)于運(yùn)行在互聯(lián)網(wǎng)上的一般應(yīng)用系統(tǒng),不需要定為等保三級(jí),但是可以按照等保三級(jí)的要求建設(shè),以提高系統(tǒng)的安全性。
2、對(duì)于政府機(jī)構(gòu)和金融行業(yè)的重要應(yīng)用系統(tǒng),如網(wǎng)上銀行等,如果確實(shí)需要定為等保三級(jí),可以采用https協(xié)議(默認(rèn)訪問(wèn)端口為443),對(duì)重要信息進(jìn)行加密傳輸。目前很多銀行的業(yè)務(wù)系統(tǒng),以及一些電商平臺(tái)都是采用這種方式。
3、三級(jí)等保的安全要求
計(jì)算機(jī)信息系統(tǒng)三級(jí)等保的安全要求包括技術(shù)要求和管理要求兩個(gè)方面,如圖所示。
其中:
技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全;管理要求包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理。
物理安全
主要指物理位置的選擇和滿足機(jī)房建設(shè)的相關(guān)標(biāo)準(zhǔn)。包括:
應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁
對(duì)機(jī)房進(jìn)行區(qū)域管理,設(shè)置過(guò)渡區(qū)域、安裝門禁
按照基本要求進(jìn)行建設(shè)配置光、電等防盜報(bào)警系統(tǒng)
設(shè)置防雷保安器,消防、耐火、隔離等措施
安裝防靜電地板,配備空調(diào)系統(tǒng)、穩(wěn)壓器、UPS、冗余供電系統(tǒng)等
網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全主要指系統(tǒng)部署方面需要采取的相關(guān)措施,包括:
合理規(guī)劃路由,避免將重要網(wǎng)段直接連接外部系統(tǒng),在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑、帶寬優(yōu)先級(jí)管理
防火墻配置包括:端口級(jí)的控制力度;常見(jiàn)應(yīng)用層協(xié)議命令過(guò)濾;會(huì)話控制;流量控制;連接數(shù)控制;防地址欺騙等策略
部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng),部署日志服務(wù)器進(jìn)行審計(jì)記錄的保存
部署終端安全管理系統(tǒng)
部署入侵檢測(cè)系統(tǒng),配置入侵檢測(cè)系統(tǒng)的日志模塊
對(duì)主要網(wǎng)絡(luò)設(shè)備實(shí)施雙因素認(rèn)證手段進(jìn)行身份鑒別等
主機(jī)安全
主要指對(duì)系統(tǒng)的安全進(jìn)行身份鑒別和訪問(wèn)控制等進(jìn)行管理,包括:
對(duì)主機(jī)管理員登陸時(shí)進(jìn)行雙因素身份鑒別(USBkey+密碼)
管理員進(jìn)行分級(jí)權(quán)限控制,重要設(shè)定訪問(wèn)控制策略進(jìn)行訪問(wèn)控制
部署主機(jī)審計(jì)系統(tǒng)審計(jì)范圍擴(kuò)大到重要客戶端
部署終端防惡意代碼軟件
部署應(yīng)用安全管理系統(tǒng)進(jìn)行資源監(jiān)控、檢測(cè)報(bào)警等
應(yīng)用安全
主要指對(duì)應(yīng)用系統(tǒng)的應(yīng)用、管理等提供安全策略,包括:
進(jìn)行雙因素認(rèn)證或采用CA系統(tǒng)進(jìn)行身份鑒別
通過(guò)安全加固措施制定嚴(yán)格用戶權(quán)限策略,保證帳號(hào)、口令等符合安全策略
開發(fā)應(yīng)用審計(jì)功能,部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)
采用PKI體系中的完整性校驗(yàn)功能進(jìn)行完整性檢查,保障通信完整性
應(yīng)用系統(tǒng)自身開發(fā)數(shù)據(jù)加密功能;采用VPN或PKI體系的加密功能保障通信保密性等
數(shù)據(jù)安全
對(duì)數(shù)據(jù)的完整性、保密性、備份與恢復(fù)等采取相關(guān)策略,包括:
配置存儲(chǔ)系統(tǒng)傳輸采用VPN
應(yīng)用系統(tǒng)針對(duì)存儲(chǔ)開發(fā)加密功能,利用VPN實(shí)現(xiàn)傳輸保密性
重要數(shù)據(jù)本地備份與異地備份,關(guān)鍵設(shè)備線路冗余設(shè)計(jì)等
其實(shí),等級(jí)保護(hù)從一級(jí)到五級(jí),級(jí)別越高,要求越高是肯定的。但是不管是等保幾級(jí)的系統(tǒng),它所要求防護(hù)的5個(gè)方面都是一樣的,只是這5個(gè)方面的要求細(xì)節(jié),會(huì)根據(jù)安全級(jí)別的不同,具體要求有所不同,級(jí)別越高,防護(hù)措施要求越嚴(yán)格。
4、了解有哪些安全設(shè)備和服務(wù)
隨著客戶對(duì)應(yīng)用系統(tǒng)安全的重視,市場(chǎng)上有很多安全廠商和安全設(shè)備,這些設(shè)備又包括軟件和硬件,還有的軟件、硬件相結(jié)合。同時(shí),除了采購(gòu)安全設(shè)備,日常的安全管理及服務(wù)也是必不可少的。為了便于大家了解、記憶,我們對(duì)常見(jiàn)的安全設(shè)備進(jìn)行歸納、分類。主要包括:
安全接入類
包括VPN、數(shù)字證書系統(tǒng)、安全接入網(wǎng)關(guān)等。
安全防護(hù)類
包括防病毒軟件、網(wǎng)頁(yè)防篡改系統(tǒng)、Web應(yīng)用防火墻、上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)、抗DDOS設(shè)備等。
安全檢測(cè)類
包括入侵防御系統(tǒng)(IPS)、入侵檢測(cè)系統(tǒng)(IDS)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)等。
安全服務(wù)類
包括安全等級(jí)評(píng)估、系統(tǒng)安全測(cè)試、日常安全巡檢等。
網(wǎng)站題目:網(wǎng)站建設(shè)公司需要了解的安全知識(shí)!
網(wǎng)頁(yè)路徑:http://www.rwnh.cn/news/205527.html
網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián),是專注品牌與效果的網(wǎng)站制作,網(wǎng)絡(luò)營(yíng)銷seo公司;服務(wù)項(xiàng)目有網(wǎng)站建設(shè)等
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源:
創(chuàng)新互聯(lián)